部署多DMZ区的安全企业网络.docx
- 文档编号:29796311
- 上传时间:2023-07-27
- 格式:DOCX
- 页数:12
- 大小:90.71KB
部署多DMZ区的安全企业网络.docx
《部署多DMZ区的安全企业网络.docx》由会员分享,可在线阅读,更多相关《部署多DMZ区的安全企业网络.docx(12页珍藏版)》请在冰豆网上搜索。
部署多DMZ区的安全企业网络
实验题目
部署多DMZ区的安全企业网络
实验任务
实验目的
企业数据库做为企业网络重点保护的资源,它保存着大量的企业所独有的机密数据,是企业所要保护的主要对象。
然而一些企业由于业务需要(它们需要通过服务网络使其信息被公众访问),在严格保护企业数据库的同时,仍要向Internet发布部分数据信息,也就是说,数据库对公共是开放的(即使是部分或有相当严格的权限限制)。
一些中小企业利用传统的三宿主防火墙(DMZ屏蔽子网内部的防火墙)构建企业网络结构如图3-1所示:
图3-1
防火墙分别和三个独立的网络相连(因此需要三个网卡),这三个网络如下所述:
●外部网络——Internet或者公司分部
●DMZ屏蔽子网
●受保护的局域网
该网络结构存在的风险之一就是防火墙对DMZ提供单层防护。
也就是说,如果黑客突破了该层防护,整个DMZ都会暴露在黑客面前,尤其是数据库服务器将面临巨大的威胁。
部署多DMZ区的安全企业网络,就是针对上述问题提出的一种最有效的深层防御措施,通过设置多重防火墙(或支持多重防御的防火墙)实现多重防御。
并且要对企业网络进行多样的安全加固,包括建立VPN通道、不同区域IDS部署以及利用蜜罐实现黑客追踪取证。
本实验注重培养学生科学分析、实践操作和应用创新能力,强化学生掌握企业网络结构的体系构成和各种网络安全设备的配置、部署与联动操作。
学生还可以在此基础上提出更合理的网络安全解决方案,进行安全加固。
实验需求
部署双DMZ区的企业网络结构,数据库服务器由两个防火墙(或支持双重防御的单个防火墙)来提供防护。
一个防火墙可以监控内网、DMZ和Internet之间的通信,另外一个防火墙可以监控DMZ和DMZ2之间的通信,如图3-2所示。
图3-2
部署需求如下:
(1)区域划分需求
双防火墙划分四个网络区域:
内网(受保护的局域网)、DMZ(直接对外信息发布的服务区域)、DMZ2(间接对外发布的、受保护的服务区域)和公网(Internet)。
(2)信息流向需求
●公网能够与DMZ通信(请求发起者);
●DMZ能够与DMZ2通信;
●公网不能够直接与DMZ2通信;
●内网能够与公网通信;
●内网能够与DMZ通信;
●其它信息流向均禁止。
(3)VPN需求
允许Internet用户通过VPN连接到内网区域。
VPN服务既可集成至第一重防御防火墙中,也可以由连接在公网路由器与企业内网间的VPN网关提供(独立的VPN网关)。
(4)网络监测需求
●公网路由器与第一重防御防火墙间部署网络流量监测器,对数据流量进行监测、网络协议进行分析,访问站点进行统计。
●DMZ部署IDS,其策略以检测针对Web、FTP等DMZ提供的服务攻击为主。
●DMZ2部署IDS,其策略以检测针对数据库的攻击为主。
(5)入侵取证需求
公网路由器与第一重防御防火墙间部署蜜罐系统,具有一定程度的入侵搜集、捕获与取证能力。
实验学时
4×5学时
实验要求
(1)允许在图3-2基础之上使用其它网络设备,如独立的VPN网关、代理服务器等。
(2)实验中可以不考虑公网路由的部署。
(3)DMZ2中的数据库服务器可以安装开源MySQL数据库。
(4)Web服务器使用服务器脚本(如ASP、JSP、PHP、Perl等)访问数据库服务器。
(5)填写实验报告,提交实验报告及相关实验设计文档。
实验任务
设计思想
图3-3
利用两个支持单DMZ区的防火墙搭建四区域的网络结构,实现双重防御。
使用第一重防火墙搭建传统的(包含单个DMZ屏蔽子网)的网络结构,划分内网、DMZ和公网三个区域。
使用第二重防火墙搭建DMZ2,划分DMZ与DMZ2两个区域。
第二重防火墙的公网接口接入到一重防御的DMZ区中,第二重防火墙的DMZ区接口接入到二重防御DMZ2区中。
在公网路由器与第一重防火墙之间部署ethereal网络流量监测器和Honeyd蜜罐主机,其中网络流量监测器负责监测外部访问企业的数据流量,分析访问协议,统计访问站点等,Honeyd蜜罐主机通过仿真企业Web服务器实现入侵搜集、捕获与取证。
公网用户通过一重防火墙(支持IPSecVPN网关功能)可与内网建立VPN隧道,进行安全通信。
在第一重防火墙DMZ区部署Web服务器(用于Web信息发布)、SnortIDS(监控检测DMZ区网络访问行为)。
在DMZ2中部署SQL数据库服务器,DMZ区Web服务器通过后台服务器脚本访问数据库服务器,进行数据查询操作。
同时,在该区部署SnortIDS(监控检测DMZ2区数据库访问行为)。
技术分析
1.双防火墙,双DMZ
企业使用多重防火墙可能会使其安全设置更加复杂,但是另一方面,它赢得了更高的安全性和灵活性。
企业可以为它的不同部门设置独立的DMZ,也可为不同安全等级的服务器设置独立的DMZ。
每个防火墙都有一个与之相连的单独的DMZ。
其中一个DMZ包括可供公众访问的Web服务器、电子邮件服务器等,另一个DMZ包括供公众间接访问或受限访问的其它服务器。
通过设置每个防火墙的外网(第二重防火墙划分的外网是DMZ区域)访问目的与DMZ区(第二重防火墙划分的DMZ区是DMZ2区域)服务地址及端口的映射关系实现纵深访问。
确保DMZ2区域中服务器的安全,还需设置第二重防火墙的访问策略,仅允许DMZ区主机和企业内网对DMZ2区域进行访问,其它访问则被禁止。
这样做的好处是:
即使第一重防火墙被攻破,它可以访问DMZ服务器授权以外的内容,那么第二重防火墙则是一道非常难以逾越的鸿沟。
2.VPN网关
许多企业使用Internet来提供连接内部主机和其他公司特定客户机的连接。
VPN经过了加密,而且只限于具有特殊IP地址的计算机使用,这是约定基于Internet上的VPN的优点所在。
VPN网关可以延续到企业内网、DMZ。
另一方面,VPN网关也可以绕过防火墙直接和企业内网相连接。
3.部署入侵检测系统
利用IDS对网络行进行监控,理想的状况是对一切进行监控。
所有网络设备和任何从外部到企业的连接都处在IDS的监视之下。
尽管这一部署对小规模组织是很可能实现的,但是当连接设备非常多时,这成了难以施展的艰巨任务。
在没有足够资源建立一个企业级的IDS的情况之下,可以考虑一下在三个最常见的位置部署IDS。
(1)外部网络连接监控
与外部组织或公网的网络连接是最明显的监控入侵的地点。
Internet对于那些经常试图取得未授权访问的黑客和自我繁殖malware来说就像一个巨大的全球操练场。
通过外网、VPN和专线连接的商业伙伴有可能进入企业网络内部。
尽管企业可能具有很好的工作安全控制,但企业可能不了解且无法访问商业伙伴的安全状况。
恶意黑客可能攻陷一个服务提供者并借助外网进入企业网络内部。
因此,监控与外部网络的连接很重要。
监控离开企业网络的流量也很重要。
各种各样的外出流量可能意味着有主机被控制,例如远程控制特洛伊木马或异常流量。
监控外出流量也可能帮助企业发现被控制用来攻击Internet上其他主机的服务器。
(2)内部网络关键点监控
中心内部网络关键点是一个需要安装IDS的重要地点。
大型交换机有非常大的流量流过,是一个监控内部攻击和不适当行为的理想地点。
(3)重要计算资源监控
企业的网络中已经具有大量安全控制的区域是入侵监控的另一个候选地点。
那些受到DMZ、防火墙、安全路由器保护的基础设施也应该部署IDS。
存有机密数据库或分层的面向外部的Web应用程序也是需要加强安全注意的地点。
4.蜜罐(honeypot)的价值
蜜罐是一种可以应用于很多环境中的高度灵活的技术。
作为一种安全工具,它们具有一些特定的优势。
具体说来,蜜罐只收集到少量的数据,但是这些数据中的大部分都是具有很高价值的信息。
它们具备在资源紧张环境中有效工作的能力,并且从概念上讲它们都是非常简单的设备。
而且,通过检测和捕获未知授权的活动,它们会迅速体现出其价值来。
参考资源
知识
资源
企业网络结构的部署
知识体系|实验27|练习三企业边界防火策略
部署IDS
知识体系|实验28入侵检测
部署honyed
知识体系|实验30蜜罐蜜网
部署VPN
知识体系|实验29|练习一利用IPSec构建企业VPN
Ethereal的安装与使用
应用服务器web-source/index.html检索
Winpcap简介及实例
应用服务器web-source/index.html检索
安全评估的内容及标准
应用服务器web-source/index.html检索
实验步骤
「说明」http:
//应用服务器IP/web-source/index.html提供实验所需软件工具及相关参考资源。
一.搭建网络环境
使用多台主机搭建实验网络环境,如图3-4所示。
图3-4
实验主机角色及系统环境如下表:
实验主机角色
实验角色
系统环境
网关指向
主机A
数据库管理主机(内网主机)
Windows
F1|eth0
主机B
普通外网用户
Windows
——
主机C
外网VPN用户
Windows
——
主机D
流量监控器
Windows
——
主机E
蜜罐主机
Linux
——
主机F
Web服务器
Linux
F1|eth1
主机G
DMZ区IDS
Linux
——
主机H
数据库服务器
Linux
F2|eth1
主机I
DMZ2区IDS
Linux
——
二.配置防火墙F1策略
(1)主机A访问防火墙F1的web设置页面,开启端口转发服务,将外网80/tcp端口请求转发至DMZ区Web服务器的80端口。
(2)设置“外出连接”,允许内网主机访问公网常用服务。
(3)开启VPN网关功能,设置用户到网关的VPN工作模式,能够在公网与内网间建立IPSecVPN隧道。
三.搭建Web服务器
(1)主机F发布Web服务,并支持简单的站内搜索功能。
进入/opt/ExpNIS/HostSec-Lab/Projects/step2目录,将search.thm和search.php文件拷贝至/var/www/html目录(Web服务文档主目录)下。
(2)修改search.php脚本,要求如下:
●将连接数据库(服务器)IP地址指向防火墙F2的eth2网络接口地址;
●数据库访问用户名称为“client”。
四.部置DMZ区IDS
部署主机G在F1|eth1入口处,并修改Snort配置文件snort.conf,在Snort以入侵检测方式运行时,仅加载web-*.rules检测规则。
五.配置防火墙F2策略
开启端口转发功能,将来自如下两个地址的3306/tcp端口(MySQL数据库服务)请求转发至DMZ2数据库服务器的3306端口。
这两个地址是:
●DMZ区Web服务器IP地址;
●企业内网数据库管理主机IP地址。
六.搭建数据库服务器
(1)主机H启动mysqld服务。
(2)登录到mysql控制台,并为mysql创建两个新用户。
●client用户:
一个Web用户,遵循数据库的最小访问权限原则;
●admin用户:
数据库管理用户,要求其对数据库拥有全部访问权限。
(3)创建数据库表
主机H执行目录/opt/ExpNIS/HostSec-Lab/Projects/step2下create_table_file脚本(在test库中创建一个数据表),并查询此数据表的内容。
(4)清空本机防火墙规则。
七.部置DMZ2区IDS
部署主机I在F2|eth1入口处,并修改Snort配置文件snort.conf,在Snort以入侵检测方式运行时,仅加载mysql.rules检测规则。
八.部置流量监控器
部署主机D在F1|eth2入口处,安装ethereal软件,设置ethreal进行流量统计、协议分析。
九.部置蜜罐
部署主机E在F1|eth2入口处,安装Honeyd软件,设置Honeyd仿真企业Web服务器发布信息。
十.配置VPN客户端
主机C安装IPSec客户端软件,能够与VPN网关建立隧道连接。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 部署 DMZ 安全 企业 网络